Download as PDF, PPTX
Wakame-vdc 開発苦労談
- 1. オープンソースクラウド基盤 ”Wakame-vdc” 開発苦労話 2011/02/07(月) @hansode
- 2.
- 3. ■自己紹介 •吉田将士 / MasahitoYoshida • 株式会社あくしゅ http://axsh.jp/ • 担当: サーバインフラ系 • 時々: プログラミング(Ruby, Perl, PHP, Bourne Shell) •Twitter: @hansode •Blog: http://blog.hansode.org/ •ここ最近はOpenStackやPuppetの検証記録 •趣味: 筋トレ、ボルダリング(インドアクライミング) ⇒最終目標は、片手懸垂。現在、両手で25回程度。
- 4. “Wakame-vdc”における 開発担当
- 5.
- 6.
- 7. ■ 『Security Groups』の機能 •AWS(AmazonWeb Service)の「Security Groups」相当 •許可ベースのファイヤーウォール •接続元IPアドレス •対象項目(tcp,udp,icmp / ポート番号) 「例: 192.0.2.10 から tcp/22 への接続を許可」 192.0.2.10 tcp/22
- 8. 『Security Groups』を 実装するにあたり、 使用した技術。
- 9.
- 10.
- 11.
- 12.
- 13. ■ 開発着手前のスキル情報・・・ •AWS利用経験は2年 • Wakame-fuel開発で使用 • Security Groupの設定経験あり • tcp/22とtcp/80を許可する程度の運用経験 •iptablesとebtables、名前を知っていた程度 • 実際に運用した経験は無い・・・
- 14.
- 15. もしも(eb|ip)tablesを 知らないエンジニアが 『Security Groups』を 1ヶ月半で実装したなら 2011/02/07(月) @hansode
- 16.
- 17.
- 18. ■ 『Security Groups』の機能 •AWS(AmazonWeb Service)の「Security Groups」相当 •許可ベースのファイヤーウォール •接続元IPアドレス •対象項目(tcp,udp,icmp・ポート番号) Amazon EC2内から見ると 1. 同一セキュリティグループ内のパケットのみ見える 2. tcpdumpやtshark等を実行しても、他グループのパ ケットは見えない 3. 例え自分のインスタンスであっても、他グループの パケットは見えてはいけない
- 19.
- 20. ■ iptables http://www.netfilter.org/projects/iptables/ iptables isthe userspace command line program used to configure the Linux 2.4.x and 2.6.x IPv4 packet filtering ruleset. It is targeted towards system administrators. Since Network Address Translation is also configured from the packet filter ruleset, iptables is used for this, too. The iptables package also includes ip6tables. ip6tables is used for configuring the IPv6 packet filter. IPv4 packet filtering ruleset.
- 21. iptablesによるフィルタ後、 tcpdumpで パケットキャプチャしてみると、、
- 22.
- 23.
- 24.
- 25.
- 26.
- 27. ■ ebtables http://ebtables.sourceforge.net/ The ebtablesprogram is a filtering tool for a Linux-based bridging firewall. It enables transparent filtering of network traffic passing through a Linux bridge. The filtering possibilities are limited to link layer filtering and some basic filtering on higher network layers. Advanced logging, MAC DNAT/SNAT and brouter facilities are also included. Link layer filtering
- 28. iptablesの要領で、 ebtablesでフィルタリング してみると、、
- 29.
- 30. ebtablesでハマった その1
- 31.
- 32. ■DHCPとブロードキャスト gw インスタンスへのIPアドレス割り DH CP 当てにはDHCPを利用しており、 インスタンスがDHCPサーバを探 す為に、、 A
- 33. ■DHCPとブロードキャスト gw インスタンスへのIPアドレス割り DH CP 当てにはDHCPを利用しており、 インスタンスがDHCPサーバを探 す為に、ブロードキャストへパ A ケットを送信する。
- 34. ■DHCPとブロードキャスト gw DHCPサーバから応答があり、 DH CP IPアドレスが割り当てられる。 A
- 35. ■DHCPとブロードキャスト gw DHCPサーバとの通信だけで DH CP なく、 ブロードキャストとの通信を A 許可する必要がある。
- 36. ebtablesでハマった その2
- 37.
- 38. ■グループ内インスタンスの場所 同一ネットワーク内 gw A B A・Bが同一セキュリティグループに所属し、 同一ネットワークに存在する場合
- 39. ■グループ内インスタンスの場所 同一ネットワーク内 gw A B AとBが通信出来れば良い
- 40. ■グループ内インスタンスの場所 ネットワークまたぎ gw gw A B A・Bが同じセキュリティグループに所属し、 互いに別ネットワークに存在する場合
- 41. ■グループ内インスタンスの場所 ネットワークまたぎ gw gw A B AとBが通信出来れば良い・・・?
- 42. ■グループ内インスタンスの場所 ネットワークまたぎ gw gw A B 相棒インスタンスにではなく、 ゲートウェイとの通信許可設定を行う。
- 43. ■グループ内インスタンスの場所 同一ネットワーク内 ネットワークまたぎ gw gw gw A B A B 相棒インスタンスの所属するネットワークによって、 通信許可対象が変化する。
- 44. ebtablesでハマった その3
- 45.
- 46. ■arpキャッシュ gw A・B間で、許可→拒否→許可。 設定変更を繰り返すと、拒否 しているのに通信可能状態が 発生。 A B
- 47. ■arpキャッシュ gw arpキャッシュ更新タイミングよ りも短い場合、拒否設定時で もarp通信出来てしまう状態が ある。 A B arpキャッシュ arpキャッシュ
- 48. ■arpキャッシュ gw 短時間で変更する場合は、イ ンスタンス内のarpテーブルを 都度削除する必要がある。 # arp –d <IPアドレス> A B arpキャッシュ arpキャッシュ
- 49. ■arpキャッシュ gw ※この短時間内の変更問題 は、根本的解決になってない ので、今後の課題。 A B arpキャッシュ arpキャッシュ
- 50. 色々ありましたが、 1ヶ月半で 「Security Groups」 実装完了しました。
- 51. ■最終的なパケットフロー (ver.10.11) ARP ebtables ARP iptables IP4 ICMP ACCEPT DROP TCP UDP IP4 Link Layer Network Layer
- 52.
- 53.
- 54.
- 55. ご清聴ありがとうございました http://twitter.com/hansode http://blog.hansode.org/